#Цікаве

Як взламують акаунти

Шахраї навчились красти акаунти без пароля: як працює фішинг у 2026 і як себе захистити

Авторка статті:

Вікторія Куш

Editorial & Journalism Lead + Creative Copywriter

14 Липня 2026

7 хв. читання

Тебе вчили трьом правилам: не відкривати підозрілі листи, не нажимати на дивні посилання і нікому не казати пароль. Вітаємо, ти молодець, але є нюанс. 

Бо сучасним шахраям твій пароль уже не потрібен. Вони придумали, як заходити у твої акаунти без нього — і часто через справжні сайти Microsoft чи Google.

Розбираємося, як змінився фішинг, що таке QR-фішинг, ClickFix і Device Code phishing, і чому як захистити свої акаунти. 

Як змінився фішинг: чому старі правила більше не рятують

Сучасний фішинг — це вже не незнайомець, який ламає замок. Це чоловік у формі комунальника, який дзвонить у домофон, каже «перевірка лічильників» — і ти добровільно відчиняєш йому двері.

Колись шахраям достатньо було викрасти пароль, але потім з’явилися двофакторна автентифікація, менеджери паролів і розумні поштові фільтри — і старі методи перестали працювати. Тож вони змінили тактику: замість того щоб обдурювати компуктер, вони обдурюють людину. 

Бо комп’ютер не часто помиляється, а людина після третьої дедлайн-ночі з літрами кохве — ще й як.

Сучасний фішинговий лист не має вигляд як «Вітаємо, ви виграли автомобіль». Він має вигляд як звичайний робочий лист від IT-відділу, написаний бездоганною українською, з логотипом компанії і без жодної помилки. Далі 3 актуальні схеми фішингу, які підсвідчує Мінфін.

QR-фішинг (квішинг): коли телефон стає слабкою ланкою

Ми скануємо QR-коди в меню ресторанів, на паркуванні, на квитках — і думалка записала їх у категорію «безпечно». Цим і користуються шахраї.

Схема виглядає так: тобі на пошту падає лист нібито від IT-відділу — «через оновлення політик безпеки відскануй QR-код для повторної авторизації Microsoft 365». Ти дістаєш телефон, скануєш, бачиш сторінку, яка виглядає точнісінько як справжня, вводиш дані — і через кілька секунд твій акаунт уже не твій.

АЛЕ тут важливий момент. Чому саме QR, а не звичайне посилання? Бо захисні системи пошти добре аналізують лінки, а от зображення з вбудованим QR-кодом — значно гірше. 

ClickFix: атака, де ти сам собі хакер

Якщо квішинг використовує довіру до смартфона, то ClickFix — довіру до інструкцій. Пам’ятаєш, як у школі вчителька казала «роби за зразком», і ми слухняно робили? Тут схоже.

Виглядає це так: відкриваєш документ або сайт, а замість контенту — повідомлення «для правильного відображення виконай кілька дій». Далі детальна покрокова інструкція: натисни Windows + R, встав оцю команду, підтверди. Все логічно, все схоже на звичайний фікс технічної проблеми. От тільки ти власноруч запускаєш шкідливий код на своєму комп’ютері.

Device Code phishing: справжній сайт, справжня двофакторка — і все одно тебе зламали

Ця техніка вважається однією з найнебезпечніших. 

У цій схемі ти заходиш на справжній сайт Microsoft. Не фейковий, не схожий, а той самий, з правильною адресою і замочком у браузері. Шахрай (наприклад, під виглядом колеги, який кличе тебе на дзвінок у Teams) переконує тебе ввести спеціальний код підтвердження входу. Ти вводиш, проходиш звичну двофакторну автентифікацію — все виглядає максимально легітимно. От тільки токен доступу після цього отримуєш не ти, а зловмисник.

Рандомний факт: Microsoft 2025 описала хакерське угруповання Storm-2372, яке саме цією схемою атакувало уряди та компанії по всьому світу, маскуючи атаки під запрошення у Teams, WhatsApp і Signal. 

До чого тут ШІ (спойлер: він працює на обидві сторони)

Ще кілька років тому фішинговий лист можна було впізнати за граматичними помилками. Генеративний ШІ цю ознаку прибрав повністю: тепер лист українською без жодної помилки, зі стилем твого керівника і згадкою реального проєкту пишеться за дві хвилини.

Той самий ШІ, яким ти генеруєш віжуали і пишеш контент-плани, для шахраїв став персональним асистентом: він шукає інформацію про компанію, вивчає стиль спілкування конкретних людей і збирає переконливі повідомлення масово. Тому кількість успішних атак росте навіть попри те, що захист теж розумнішає.

Чим фішинг стосується тебе?

Тут багато хто думає: «Та кому я потрібен, я не банк і не міністерство». Це одна з найнебезпечніших ілюзій, і ось чому: сучасні фішингові кампанії автоматизовані й масові. Ніхто не сидить і не обирає жертву — розсилаються тисячі листів і QR-кодів, а далі шахраї просто чекають, поки хтось один натисне потрібну кнопку.

А тепер порахуй, до чого ти маєш доступ: бізнес-сторінки клієнтів, рекламні кабінети з прив’язаними картками, поштові скриньки, спільні диски з брендбуками і договорами, робочі чати. 

Один твій зламаний акаунт — і в шахрая доступ не до однієї людини, а до цілого великої кількості бізнесів. 

Як захиститися від сучасного фішингу: що реально працює

Поганих новин вистачило, тепер хороші: захиститися можна, і це не потребує диплома з кібербезпеки.

 

  1. QR-коди з листів — це посилання. Дотримуйся усіх правил роботи з посиланнями: не сканувати з робочих листів «від IT-відділу», не вводити дані на сторінках, які відкрилися після сканування, поки не перевіриш адресу.
  2. Не виконуй команди з сайтів і документів. 
  3. Код підтвердження входу вводиш тільки тоді, коли реально заходиш.
  4. Перевіряй активні сесії у своїх акаунтах (Google, Microsoft, Meta) хоча б раз на місяць. Після будь-якої підозри — не просто зміни пароль, а розлогінь усі пристрої.

Висновок

Фішинг більше не краде паролі — він краде довіру: до QR-кодів, до інструкцій, до справжніх сайтів і навіть до твоєї власної двофакторки. 

Тому єдине правило, яке не застаріє: будь-який неочікуваний запит на авторизацію — це привід зупинитися і все ретельно перевірити. 

Авторка статті:

Вікторія Куш

Editorial & Journalism Lead + Creative Copywriter
Усі статті автора ➝